-
WordPressで考える Authentication bypass via flawed state machine|ログイン手順の順番が崩れると何が起きるのか
今回は、Web Security Academyの「Authentication bypass via flawed state machine」 というラボを解説します。 このラ…
-
WordPressで考える Flawed enforcement of business rules|クーポン割引が無限に使えるロジック欠陥
今回は、PortSwiggerのWeb Security Academyにあるラボ「Flawed enforcement of business rules」を解説します。 このラ…
-
WordPressの「/wp-login.php」スキャンとは│アクセスログ分析【Security Log #9】
WordPressサイトを公開すると、さまざまなBotがサイトの構造を調べるためにアクセスしてきます。 特に多く観測されるのが、ログインページ「/wp-login.php」へのアク…
-
WordPressサイトに「/admin」「/api」アクセスが来る理由|アクセスログ分析【Security Log #8】
サーバーログを確認していると、次のようなアクセスが頻繁に記録されていることがあります。 しかし、私のサイトはWordPressです。WordPressには通常、/admin や /…
-
WordPressの /setup-config.php を探すBotアクセス|アクセスログ分析【Security Log #7】
WordPressサイトを公開すると、すぐにさまざまなBotによるスキャンが始まります。 実際にサーバーログを確認すると、公開から数日間で特定のURLへのアクセスが大量に記録されて…
-
WordPress公開直後に来たxmlrpc.php POSTリクエスト|アクセスログ分析【Security Log #6】
WordPressを公開すると、インターネット上のボットによる自動スキャンがすぐに始まります。 これまでのログシリーズでは、WordPress公開直後に来たBotのアクセスやスキャ…
-
Real Bot Activity on a New WordPress Site Within Hours of Launch
When a new WordPress site is published, it rarely stays unnoticed for long. Automated bots…
